丢弃异常来源的DNS请求和响应

　　通常情况下，攻击者会利用脚本来对目标进行分布式拒绝服务攻击(DDoS攻击)，而且这些脚本是有漏洞的，不符合与DNS报头有关的RFC。在服务器中部署简单的匿名检测机制，在某种程度上可以限制泛洪中的数据包数量。　　 

　　果断丢弃未经请求或突发的DNS请求

　　·这类请求信息很可能是由伪造的代理服务器所发送的，或者由于调试需要客户端配置错误或者是攻击流量。以上任何一种情况下果断丢弃数据包。

　　·非泛洪攻击 (non-flood) 时段，创建一个白名单，添加允许服务器处理的合法请求信息。

　　·白名单可以阻断非法的查询请求信息以及非常见数据包。

　　·这种方法可以有效地保护您的服务器不受泛洪攻击、影子域名 (phantom-domain) 以及影子子域名 (phantom-subdomain) 的威胁。

　　·除此之外，还也可以保证认证服务器只处理合法的域名服务器只对合法的DNS查询请求进行处理和响应。　　 

　　启动DNS客户端验证

　　·伪造是DNS攻击中常用的一种技术。

　　·如果设备可以启动客户端验证信任状，便可以用于从伪造泛洪数据中筛选出非泛洪数据包。

　　·FortiDDoS就是通过反伪造技术，例如强制TCP传输或重传。

　　响应缓存避免DNS服务器过载宕机

　　·FortiDDoS内嵌了高性能的DNS缓存工具，使用硬件线路每秒处理百万DNS请求。

　　·遇到泛洪攻击时，如果响应数据在缓存中，DNS查询通过上述所有检测后，缓存便能够响应。从而有效地防止服务器因过载而宕机。

　　使用ACL的权限

　　·许多请求中包含了服务器不具有或不支持的信息，那么可以进行简单的阻断设置，例如外部IP地址请求区域转换或碎片化数据包，直接丢弃即可。

　　定位ACL，BCP38，及IP信誉功能的使用

　　·托管DNS服务器的任何企业都有用户轨迹的限制。

　　·当攻击数据包被伪造，伪造请求来自世界各地的源地址。设置一个简单的过滤器可阻断不需要的地理位置的IP地址请求或只允许在地理位置白名单内的IP请求。

　　·同样，伪造是随机的。有时，某些伪造的数据包可能来自与内部网络地址。利用BCP38通过硬件过滤也可以清除异常来源地址的请求。

　　·BCP38对于提供DNS解析的服务提供商也相当有用，可以避免用户向外发送攻击或受到内部地址请求的攻击，过滤用户并保证其数据传输。　　 

　　余量带宽

　　·如果日常DNS流量假设是 X Gbps, 确保流量通道不止是日常的量，有一定的带宽余量可以有利于处理大规模攻击。

　　通过Fortinet FortiDDoS提供的上述10种非常简单的方法，可以有效地帮助您缓解许多基于DNS的DDoS攻击，并保证您所提供的服务可以满足客户的使用需求。

　　责任编辑：余芯